İSO 27001 Nedir?

ISO 27001 ve ISO 27002 Bilgi Güvenliği Yönetim Sistemi Standartlarının temelleri BS 7799 standardına dayanmaktadır. BS 7799 BSI (British Standards Institution) 1995 yılında yayınlanmış olup iki parçadan oluşmaktaydı. Birinci parça yani BS 7799-1 Bilgi güvenliği yönetimi için en iyi uygulamaları içermekteydi. 2000 yılında bu standart ISO tarafından kabul edilerek ISO 17799 Bilgi Teknolojisi – Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri olarak yayınlanmıştır. ISO 17799 2007 yılında ISO 27000 serisi içine ISO 27002 olarak dahil edilmiştir. İkinci parça ise BSI tarafından BS 7799 2 Bilgi Güvenliği Yönetim Sistemi Gereksinimleri adı altında 1999 yılında yayınlanmıştır. Bu standart BGYSnin nasıl kurulması gerektiği üzerinde durmuştur. 2005 yılında ise ISO tarafından ISO 27001 Bilgi Güvenliği Yönetim Sistemi Gereklilikleri adıyla yayınlanmıştır. ISO 27001 ve 27002 standartlarının en güncel revizyonları ise 25.09.2013 tarihinde yayınlanmıştır

ISO/IEC 27001:2013, kuruluşun kapsamı dahilinde bilgi güvenliği yönetim sisteminin kurulumu, yerine getirilmesi, yürütülmesi ve sürekli geliştirilmesi için gereklilikleri tanımlar. Ayrıca, kuruluşun ihtiyaçlarıyla bağlantılı olan bilgi güvenliği risklerinin değerlendirilmesi ve iyileştirilmesi için gereklilikleri de içermektedir. ISO/IEC 27001:2013te verilen gereklilikler geneldir ve kuruluşların tipine, büyüklüğüne ve doğasına bağlı olmaksızın hepsi için uygulanabilir olması amaçlanmıştır

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.